Criterios de seguridad indispensables en una solución EFSS (Enterprise File Sync & Share)
Los usuarios de tu organización necesitan compartir, sincronizar y acceder a la información corporativa de una manera ágil y productiva. Las soluciones EFSS (Enterprise File Sync & Share) han hecho esto posible en los entornos corporativos.
Ahora bien, la experiencia me ha enseñado que el incremento de la productividad nunca debe estar supeditado a la asunción de un mayor riesgo para la seguridad de la información.
En este post, voy a compartir contigo una serie de criterios fundamentales que te recomiendo utilizar para garantizar que la solución EFSS de tu organización es segura.
Si no conoces en profundidad estos sistemas, te recomiendo la lectura del post: Introducción a los sistemas EFSS (Enterprise File Sync & Share)
Una advertencia:
Ten en cuenta que si tú no ofreces una alternativa eficaz a tus usuarios que garantice la seguridad, estos terminarán buscando recursos alternativos con los que llevar a cabo sus funciones.
¿Cuál es el problema?
La mayor parte de las soluciones EFSS accesibles en el mercado carecen de las medidas de seguridad necesarias.
De acuerdo con un informe elaborado en el 2014 por Security Dispatch, cerca del 50% de los empleados exponen información sensible mediante el uso de herramientas de compartición de datos no autorizadas.
A la hora de elegir entre las distintas opciones, te recomiendo la lectura del post: Claves para elegir la mejor solución EFSS (Enterprise File Sync & Share)
Sistema de autenticación y autorización
La gestión de identidades y accesos es un tema que he tratado reiteradamente en anteriores ocasiones. Para ahondar en la temática, te recomiendo el White Paper: Cómo preparar a tu Organización para una solución de Gestión de Identidades.
En un entorno en el que los usuarios pueden acceder a la información corporativa desde prácticamente cualquier dispositivo imaginable, es imprescindible que el departamento de IT cuente con las herramientas que le permitan poner en marcha procesos de autenticación y aprovisionamiento de los derechos de acceso de cada uno de ellos, en función de los roles asignados a su perfil en la organización.
Así, que la herramienta EFSS de tu organización ofrezca estas funcionalidades será un valor añadido a considerar en el proceso de elección. En caso contrario, será muy importante valorar las capacidades de integración de la solución con este tipo de sistemas de gestión de identidades (GdI).
Si quieres saber más acerca de la importancia de las soluciones GdI, te recomiendo la lectura de este post: Señales inequívocas de que necesitas un sistema de gestión de identidades.
Permisos de acceso a subcarpetas
Avanzando en estas funcionalidades, una solución EFSS completa debería permitirte personalizar permisos de usuario único para subcarpetas. De este modo, el departamento de IT podrá realizar ágilmente este tipo de aprovisionamiento de permisos en función del cargo y necesidades que presente su desempeño.
Medidas de control sobre los usuarios externos
Además, es posible que tu organización tenga necesidades de acceso y compartición de información con usuarios externos, tales como: suministradores, subcontratistas e incluso clientes, etc. Una situación que si bien podría constituir un reto para la seguridad, se resuelve con la implantación de un sistema EFSS que sea capaz de integrarse con plataformas de gestión de la identidad e incluso con plataformas IRM (Information Rights Management).
Funcionalidades avanzadas
Por otro lado, una buena solución de EFSS debería incluir una batería de funcionalidades que permitan controlar y restringir los accesos de una manera práctica como, por ejemplo:
- Regulando la caducidad de los enlaces compartidos.
- Restringiendo los accesos en función de atributos del perfil del usuario.
- Eliminando remotamente los archivos pertenecientes al usuario.
Seguridad permanente de los datos
Tan importante es trabajar en el acceso a la información, como asegurar la integridad de la misma. Una solución EFSS debe garantizar que los datos de tu organización están seguros durante las fases de tránsito, reposo y almacenamiento, mediante los debidos sistemas de almacenamiento, backup, cifrado y demás protocolos de seguridad.
Compatibilidad con múltiples sistemas de cifrado
El proceso de cifrado debería poder realizarse tanto mediante claves generadas internamente, como con sistemas de cifrado de terceros.
Backup y recuperación de la información
Ya sea de forma accidental o maliciosa, ¿qué ocurre cuando determinados archivos importantes son borrados por un usuario?
Toda la información que sea almacenada y/o tratada a través de la solución EFSS de tu organización debe contar con un sistema de copias de seguridad, que garantice su recuperación en caso de accidente. Es importante que procesos sean accesibles a los administradores del departamento de IT, de manera que puedan localizar y recuperar la información en caso necesario.
En este sentido, las soluciones EFSS que proporcionen funcionalidades propias de almacenamiento, copias de seguridad y recuperación de la información aportan, sin duda, un valor añadido que puede evitarte importantes quebraderos de cabeza.
Por otro lado, si decides optar por una solución EFSS que carezca de estas funcionalidades, mi consejo es, como en el apartado anterior, que te asegures de que la herramienta cuenta con altas funcionalidades de integración, que haga viable la interoperabilidad con el resto de sistemas de tu organización.
Monitorización de la información
El acceso a la información corporativa y su compartición desde distintos dispositivos y ubicaciones es un hecho casi inevitable. Así, controlar un número de dispositivos corporativos concretos deja de ser eficiente. Es por ese motivo que considero que una solución EFSS, además de ofrecer las funcionalidades en términos de seguridad mencionadas anteriormente, debe proporcionar altas funcionalidades de monitorización de los datos: registro de los accesos, modificaciones, comparticiones, borrados, modificación de los permisos de acceso, etc.
Tu departamento de IT debe tener máxima visión y control sobre esta actividad. Esto incluye poder controlar y gestionar dicha actividad, incluyendo el borrado remoto de la información si fuera necesario. Poder elaborar informes detallados de cara a auditar esta actividad será, además, un complemento a la solución que facilitará enormemente esta tarea.
Seguridad de los dispositivos móviles
Los dispositivos móviles han abierto todo un mundo de posibilidades en lo que al trabajo remoto se refiere.
¿Cuál es el problema?
Como introducía anteriormente, el problema es que cada uno de estos dispositivos constituye un nuevo eslabón débil dentro de la cadena de la seguridad de la información.
Debido a su propia naturaleza, los smartphones, tablets y portátiles están extremadamente expuestos frente a ataques informáticos, robos e incluso descuidos por parte de sus usuarios. Además, suponen una barrera adicional en lo que respecta al control y seguridad de la información corporativa.
Por ese motivo, tu organización necesita contar con una solución EFSS que proporcione las medidas de control extraordinarias mencionadas sobre la información que se comparte desde la misma.
Analizo este tema con más profundidad en el post “Desafíos en la movilidad empresarial en la gestión del dato”.
Estos criterios que acabo de enumerar deberían ayudarte a discriminar con facilidad las soluciones EFSS del mercado y, sobre todo, garantizar que la compartición de datos no supone un problema de seguridad dentro de tu organización.
Si estás pensando en cambiar o implantar una solución de estas características en tu organización, te recomiendo que valores WBSAirback- StorageCloud. Una solución EFSS que cumple con los requisitos de seguridad mencionados anteriormente y que ofrece altos niveles de interoperabilidad, gracias a su capa API-REST y su tecnología basada en estándares abiertos.
Quizá también te interese:
- Introducción a los sistemas EFSS (Enterprise File Sync & Share)
- Claves para elegir la mejor solución EFSS (Enterprise File Sync & Share)
- Desafíos de la movilidad empresarial en la gestión del dato.
- Riesgos y limitaciones del uso de la nube pública en tu organización.